本发明专利技术公开了一种数字证书的应用方法、系统,其中的方法包括:在可信服务管理TSM服务器与移动终端之间建立安全通道;TSM服务器通过安全通道向移动终端下发数字证书;移动终端将数字证书以可信应用TA的形式部署在TEE中,提供相应的数据处理服务。本发明专利技术的方法、系统,可以基于安全通道协议建立安全通道并生成多种命令,定义了优化的个人化命令和个人化流程,采用了安全、高效的安全通道协议,能够安全、高效的实现基于TEE的免SE的数字证书的个人化,并可以保证业务所需的安全性,同时节省用户购买额外硬件的成本。
【技术实现步骤摘要】
数字证书的应用方法、系统
本专利技术涉及信息安全
,尤其涉及一种数字证书的应用方法、系统。
技术介绍
随着互联设备的移动和消费市场日益成熟、不断壮大,安全性成为越来越引起人们关注的问题。数字证书技术用于银行交易签名,也可以用于内容加密,在移动终端中对于银行交易签名、内容加密等业务提供数字证书服务目前通常采用两种方式。1、面向SE的个人化方案:将敏感数据都存入安全元件SE(SecureElement)硬件模块中,敏感数据包括私钥、数字证书、序列号等,TEE中的可信应用TA主要提供TUI功能和SE的通道功能,将接收到的交易报文等发送给SE进行签名、加解密等处理。服务器下发APDU格式的个人化数据,并期望设备返回APDU格式的响应;而且,个人化数据报文一般采用针对SE的安全通道协议做保护。当设备上没有SE,或者数字证书不是基于SE而实现时,采用APDU格式下发个人化数据,以及采用针对SE的安全通道协议,就失去了意义。2、基于REE而实现的数字证书方案:个人化数据存储在REE环境中,且与REE建立安全通道。在REE中提供数字证书功能,在REE中对交易报文等进行签名、加解密等处理,由于REE环境不是安全环境,个人化数据存储的安全级别较低,存在一定的安全风险,安全性较低,而且,该方案采用的个人化数据报文格式和安全通道协议一般都较复杂。
技术实现思路
有鉴于此,本专利技术要解决的一个技术问题是提供一种数字证书的应用方法、系统。根据本专利技术的一个方面,提供一种数字证书的应用方法,包括:在移动终端中配置可信执行环境TEE;在可信服务管理TSM服务器与所述移动终端之间建立安全通道;所述TSM服务器接收到所述移动终端发送的数字证书个人化请求,通过所述安全通道向所述移动终端下发数字证书和/或密钥信息;所述移动终端将所述数字证书和/或密钥信息以可信应用TA的形式部署在所述TEE中,提供相应的数据处理服务。可选地,基于安全通道协议建立所述安全通道;其中,所述安全通道具有的功能包括:双向身份认证、报文加密、报文完整性检查的功能。可选地,所述TSM服务器通过所述安全通道协议生成根密钥,将所述根密钥分散为对于所述安全通道的会话密钥;其中,所述会话密钥包括:加密密钥和消息认证码MAC密钥。可选地,所述TSM服务器基于安全通道协议生成对于所述安全通道进行管理的通道管理命令;所述TSM服务器基于安全通道协议生成对于数字证书的个人化命令;所述TSM服务器基于安全通道协议生成对于数字证书服务的服务管理命令。可选地,所述TSM服务器获取安全通道初始根密钥以及密钥分散算法;在向所述移动终端下发数字证书和/或密钥信息之前,所述TSM服务器与所述移动终端基于所述安全通道协议个人化命令将所述安全通道的初始根密钥更换为安全通道正式根密钥。可选地,在将所述安全通道初始根密钥更换为安全通道正式根密钥后,所述TSM服务器接收到所述移动终端发送的数字证书个人化请求,所述TSM服务器从证书服务器获取所述数字证书和/或密钥信息,通过安全通道协议个人化命令将所述数字证书和/或密钥信息下发给所述移动终端。可选地,所述TSM服务器向所述证书服务器发送的报文包括:PKCS10格式报文;所述TSM服务器在所述证书申请报文中封装的数据包括:从所述移动终端向所述TSM服务器发送的个人化响应报文提取的公钥。可选地,通过所述安全通道协议的服务管理命令管理所述数字证书的生命周期。根据本专利技术的另一方面,提供一种数字证书的应用系统,包括:移动终端和可信服务管理TSM服务器;在所述TSM服务器与所述移动终端之间建立安全通道;所述TSM服务器,用于接收所述移动终端发送的数字证书个人化请求,通过所述安全通道向所述移动终端下发数字证书和/或密钥信息;所述移动终端,用于配置可信执行环境TEE,将所述数字证书和/或密钥信息以可信应用TA的形式部署在所述TEE中,提供相应的数据处理服务。可选地,所述TSM服务器与所述移动终端基于安全通道协议建立所述安全通道;其中,所述安全通道具有的功能包括:双向身份认证、报文加密、报文完整性检查的功能。可选地,所述TSM服务器,用于通过所述安全通道协议生成根密钥,将所述根密钥分散为对于所述安全通道的会话密钥;其中,所述会话密钥包括:加密密钥和消息认证码MAC密钥。可选地,所述TSM服务器,用于基于安全通道协议生成对于所述安全通道进行管理的通道管理命令;基于安全通道协议生成对于数字证书的个人化命令;基于安全通道协议生成对于数字证书服务的服务管理命令。可选地,包括:可信应用管理TAM服务器;所述TAM服务器,用于向所述TSM服务器发送安全通道初始根密钥以及密钥分散算法;在向所述移动终端下发数字证书和/或密钥信息之前,所述TSM服务器与所述移动终端基于安全通道协议个人化命令将所述安全通道的初始根密钥更换为安全通道正式根密钥。可选地,包括:证书服务器;在将所述安全通道初始根密钥更换为安全通道正式根密钥后,所述TSM服务器接收到所述移动终端发送的数字证书个人化请求,所述TSM服务器从所述证书服务器获取所述数字证书和/或密钥信息,通过安全通道协议个人化命令将所述数字证书和/或密钥信息下发给所述移动终端。可选地,所述TSM服务器向所述证书服务器发送的报文包括:PKCS10格式报文;所述TSM服务器在所述证书申请报文中封装的数据包括:从所述移动终端向所述TSM服务器发送的个人化响应报文中提取的公钥。可选地,所述移动终端基于所述安全通道协议的服务管理命令管理所述数字证书的生命周期。本专利技术的数字证书的应用方法、系统,在TSM服务器与移动终端之间建立安全通道,TSM服务器通过安全通道向移动终端下发数字证书和/或密钥信息,移动终端将数字证书和/或密钥信息以TA的形式部署在TEE中,提供相应的数据处理服务,可以基于安全通道协议建立安全通道并生成多种命令,定义了优化的个人化命令和个人化流程,采用了安全、高效的安全通道协议,能够安全、高效的实现基于TEE的免SE的数字证书的个人化,并可以保证业务所需的安全性,同时节省用户购买额外硬件的成本。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为根据本专利技术的数字证书的应用方法的一个实施例的流程示意图;图2为根据本专利技术的数字证书的应用方法的一个实施例中的数字证书初始化流程示意图;图3为根据本专利技术的数字证书的应用方法的一个实施例中的数字证书个人化流程示意图;图4为根据本专利技术的数字证书的应用系统的一个实施例的模块示意图。具体实施方式现在将参照附图来详细描述本专利技术的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本专利技术的范围。同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本专利技术及其应用或使用的任何限制。对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当本文档来自技高网...
【技术保护点】
1.一种数字证书的应用方法,其特征在于,包括:在移动终端中配置可信执行环境TEE;在可信服务管理TSM服务器与所述移动终端之间建立安全通道;所述TSM服务器接收到所述移动终端发送的数字证书个人化请求,通过所述安全通道向所述移动终端下发数字证书和/或密钥信息;所述移动终端将所述数字证书和/或密钥信息以可信应用TA的形式部署在所述TEE中,提供相应的数据处理服务。
【技术特征摘要】
1.一种数字证书的应用方法,其特征在于,包括:在移动终端中配置可信执行环境TEE;在可信服务管理TSM服务器与所述移动终端之间建立安全通道;所述TSM服务器接收到所述移动终端发送的数字证书个人化请求,通过所述安全通道向所述移动终端下发数字证书和/或密钥信息;所述移动终端将所述数字证书和/或密钥信息以可信应用TA的形式部署在所述TEE中,提供相应的数据处理服务。2.如权利要求1所述的方法,其特征在于,包括:基于安全通道协议建立所述安全通道;其中,所述安全通道具有的功能包括:双向身份认证、报文加密、报文完整性检查的功能。3.如权利要求2所述的方法,其特征在于,还包括:通过所述安全通道协议生成根密钥,将所述根密钥分散为对于所述安全通道的会话密钥;其中,所述会话密钥包括:加密密钥和消息认证码MAC密钥。4.如权利要求3所述的方法,其特征在于,还包括:所述TSM服务器基于所述安全通道协议生成对于所述安全通道进行管理的通道管理命令;所述TSM服务器基于所述安全通道协议生成对于数字证书的个人化命令;所述TSM服务器基于所述安全通道协议生成对于数字证书服务的服务管理命令。5.如权利要求4所述的方法,其特征在于,包括:所述TSM服务器获取安全通道初始根密钥以及密钥分散算法;在向所述移动终端下发数字证书和/或密钥信息之前,所述TSM服务器与所述移动终端基于所述安全通道协议个人化命令将所述安全通道的初始根密钥更换为安全通道正式根密钥。6.如权利要求5所述的方法,其特征在于,还包括:在将所述安全通道初始根密钥更换为安全通道正式根密钥后,所述TSM服务器接收到所述移动终端发送的数字证书个人化请求,所述TSM服务器从证书服务器获取所述数字证书和/或密钥信息,通过安全通道协议个人化命令将所述数字证书和/或密钥信息下发给所述移动终端。7.如权利要求6所述的方法,其特征在于,还包括:所述TSM服务器向所述证书服务器发送的报文包括:PKCS10格式报文;所述TSM服务器在所述证书申请报文中封装的数据包括:从所述移动终端向所述TSM服务器发送的个人化响应报文中提取的公钥。8.如权利要求4所述的方法,其特征在于,通过所述安全通道协议的服务管理命令管理所述数字证书的生命周期。9.一种数字证书的应用系统,其特征在于,包括:移动终端和可...
【专利技术属性】
技术研发人员:成秋良,
申请(专利权)人:北京握奇智能科技有限公司,北京握奇数据股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。